(12) DEMANDE INTERNATIONALE PUBLIEE EN VERTU DU TRAITE DE COOPERATION 

EN MATIERE DE BREVETS (PCT) 



(19) Organisation Mondiale de la Propriete 
Intellectuelle 

Bureau international 

(43) Date de la publication internationale 
14 juillet 2005 (14.07.2005) 




PCT 



(10) Numero de publication internationale 

WO 2005/064886 Al 



(51) Classification internationale des brevets 7 : H04L 29/06 

(21) Numero de la demande internationale : 

PCT/FR2004/002872 

(22) Date de depot international : 

8 novembre 2004 (08.11 .2004) 



(25) Langue de depot : 

(26) Langue de publication : 



francais 
francais 



(30) Donnees relatives a la priorite : 

0350929 28 novembre 2003 (28. 1 1 .2003) FR 

(71) Deposant (pour tous les Etats designes sauf US) : 
FRANCE TELECOM [FR/FR]; 6, place d'Alleray, 
F-75015 Paris (FR). 

(72) Inventeurs; et 

(75) Inventeurs/Deposants (powr US seulement) : CHARLES, 
Olivier [FR/FR]; 104, rue Raymond Losserand, F-75014 
Paris (FR). BUTTI, Laurent [FR/FR]; 26, rue Saussiere, 
F-92100 Boulogne Billancourt (FR). VEYSSET, Franck 
[FR/FR]; 2, Rue d'Alembert, F-92130 Issy les Moulineaux 
(FR). 

(74) Mandataire : STEPHANN, Valerie; France Telecom/T 
& I/PIV/PI, 38-40, rue du General Leclerc, F-92794 Issy 
Moulineaux Cedex 9 (FR). 



(81) Etats designes (sauf indication contraire, pour tout titre de 
protection nationale disponible) : AE, AG, AL, AM, AT, 
AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, CN, CO, 
CR, CU, CZ, DE, DK, DM, DZ, EC, EE, EG, ES, FT, GB, 
GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, 
KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, MA, MD, MG, 
MK, MN, MW, MX, MZ, NA, NI, NO, NZ, OM, PG, PH, 
PL, PT, RO, RU, SC, SD, SE, SG, SK, SL, S Y, TJ, TM, TN, 
TR, TT, TZ, UA, UG, US, UZ, VC, VN, YU, ZA, ZM, ZW. 

(84) Etats designes (sauf indication contraire, pour tout titre 
de protection regionale disponible) : ARIPO (BW, GH, 
GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, 
ZW), eurasien (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM), 
europeen (AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FT, 
FR, GB, GR, HU, IE, IS, IT, LU, MC, NL, PL, PT, RO, SE, 
SI, SK, TR), OAPI (BF, B J, CF, CG, CI, CM, GA, GN, GQ, 
GW, ML, MR, NE, SN, TD, TG). 

Declaration en vertu de la regie 4.17 : 

— relative a la qualite d'inventeur (regie 4.17.iv)) pour US 
seulement 

Publiee : 

— avec rapport de recherche internationale 

En ce qui conceme les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



(54) Title: METHOD FOR DETECTION AND PREVENTION OF ILLICIT USE OF SPECIFIC NETWORK PROTOCOLS 
WITHOUT ALTERATION OF LEGITIMATE USE THEROF 



00 
00 

i?5 



(54) Titre : PROCEDE DE DETECTION ET DE PREVENTION DES USAGES ILLICITES DE CERTAINS PROTOCOLES DE 
RESEAUX SANS ALTERATION DE LEURS USAGES LICITES 

(57) Abstract: The invention relates to a method for detection and prevention of illicit use of specific network protocols without 
alteration of legitimate use thereof. According to the invention, each new flow is allocated a counter CPT (27). On receipt of each 
packet of data, a delay function (25) is applied to reduce the flow of illicit data without affecting the legitimate usage. The delay 
function is increased, particularly, as a function of the rate of the flow for monitoring using the counter CPT. 



(57) Abrege : La presente invention concerne un procede de detection et de prevention des usages illicites de certains protocoles 
de reseaux sans alteration de leurs usages licites. Selon l'invention, chaque flux nouveau se voit affecter un compteur CPT (27). A 
chaque paquet de donnees recues, on applique une fonction de retardement (25) destinee a reduire le flux a usage illicite sans gener 
le flux a usage licite. La fonction retard croit notamment en fonction du debit sur le flux a surveiller a l'aide du compteur CPT. 
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"Procede de detection et de prevention des usages illicites de 
certains protocoles de reseaux sans alteration de leurs 

usages licites" 

La presente invention concerne un procede de detection et 
5 de prevention des usages illicites de certains protocoles de 
reseaux sans alteration de leurs usages licites. 

Elle trouve application notamment dans la securite des 
reseaux IP. Elle apporte une parade efficace a differents types 
d'attaques qui se caracterisent par une elevation soudaine du 
10 debit du protocole corrompu, attaques par deni de service et 
canaux caches notamment. Elle trouve un usage particulierement 
efficace sur les reseaux publics sans fil en acces payant (hot 
spot). 

[^invention presente notamment deux aspects. Le debit des 
15 protocoles concernes est un critere de detection et un moyen 
d'eradication de Tattaque. Dans ce second aspect, Tinvention se 
base sur I'utilisation d'une fonction de retardement qui fait que 
tout paquet regu par le systeme est reemis avec un retard. Celui- 
ci est negiigeable quand il n'y a pas d'attaque et devient 
20 important quand une attaque est detectee, au point de rendre le 
reseau inutilisable a Tattaquant. 

Le procede de ['invention est independant de la technique 
sur laquelle le reseau IP est bati : Ethernet, IEEE 802. 11, GPRS, 
etc. 

25 Le procede de IMnvention apporte, entre autres, une 

solution efficace aux fraudes connues sous le nom de firewall 

piercing (ou canaux caches). 

Ces techniques de fraudes permettent de faire passer au 

travers d'un equipement de filtrage des flux d'information 
30 normalement interdits en les encapsulant dans des flux autorises. 

L'invention permet de resoudre ce probleme dans les cas difficiles 

qui jusqu'alors etaient sans solution. 
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Le procede de I'invention presente I'avantage d'empecher 
la fraude sans avoir d'influence negative notable sur les usages 
licites du reseau. 

De fagon plus generale, toute attaque ou fraude reposant 
5 sur un echange inhabituel de donnees avec Texterieur d'un 
reseau local est facilement traitable par la presente invention, 
pourvu qu'elle provoque une hausse significative du debit 
normalement consomme par le protocole corrompu. 

Ainsi certaines attaques par denis de services (attaques 
10 consistant a rendre un service inutilisable aux autres utilisateurs 
par pure intention de nuire) peuvent aussi etre traitees. Ceci 
s'applique particulierement bien aux reseaux, denommes reseaux 
"hot spot", le hot spot etant une zone de couverture 
radiofrequence sur laquelle un terminal convenablement equipe 
15 peut se connecter et obtenir un acces au reseau Internet, 
moyennant le reglement d'une somme payee d'avance ou 
prelevee sur la facture d'abonnement a un fournisseur d'acces a 
un reseau de communication comme le reseau GSM du client. 
Ceci est le cas si le hot spot est interconnects a un operateur de 
20 reseau mobile pour utiliser Pauthentification GSM. 

Dans ce dernier cas, une autre attaque possible depuis le 
hot spot sur la machine qui gere I'authentification des utilisateurs 
est critique, car c'est precisement le serveur d'authentification du 
reseau GSM. Les operateurs de reseaux mobiles redoutent une 
25 telle attaque par deni de service, car elle mettrait en peril le 
fonctionnement du serveur d'authentification du reseau GSM et 
par effet de bord le reseau GSM lui meme. 

La presente invention permet de detecter automatiquement 
un nombre anormalement eleve de requetes et de les limiter. 
30 Des techniques de « firewall piercing » pour transporter 

des protocoles interdits existent aussi et sont souvent utilisees 
sur les reseaux d'entreprises. L'invention s'applique 
preferentiellement aux protocoles de "signalisation" comme DNS, 
ICMP ou EAP (qui lui transporte une methode d'authentification), 
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c'est-a-dire des protocoles qui ne servent qu'a faire fonctionner 
les autres protocoles de TInternet, mais ne transportent 
directement de donnees utiles appartenant aux utilisateurs. Or 
ces protocoles de « signalisation » sont tres differents des 
5 protocoles de transport de donnees en ce qu'ils fonctionnent a 
des debits normalement faibles et connus. Si ces protocoles de 
signalisation venaient a etre utilises lors d'une attaque en tant 
que protocoles de transport, ceci devrait aboutir a un nombre 
anormalement eleve de requetes et de reponses. 
io Mais on remarque que Tinvention s'appiique aussi a des 

protocoles de transport. Elle s'appiique notamment a la protection 
de protocoles de transport a bas debit, totalement ou 
partiellement. 

Particulierernent, Tinvention permet de traiter les 
is protocoles comme DNS (protocole dit de signalisation). En effet, 
sur un hot spot public par exemple, il est frequent que, par defaut, 
tous les flux soient interdits sauf les protocoles de signalisation, 
indispensables au demarrage des connexions des utilisateurs 
(transport des donnees d'authentification, collecte d'information 
20 sur la configuration du reseau, resolution de noms). Ainsi un 
fraudeur qui voudrait utiliser le hot spot sans payer n'aurait que 
les protocoles de signalisation pour construire un canal cache. A 
Tinverse, les protocoles "utiles" comme http ou telnet etant 
interdits par un firewall tant que Tutilisateur n'est pas autorise a 
25 se connecter, ils ne peuvent pas etre utilises en canal cache pour 
frauder. 

II existe aussi un autre aspect selon lequel Tinvention 
traite les protocoles comme les protocoles "http" ou « ftp ». En 
effet, dans son usage courant, le protocole "http" est un protocole 
30 qui presente un debit fortement asymetrique : un debit faible du 
terminal vers le serveur qui correspond a des requetes et un debit 
eleve dans Tautre sens qui correspond aux pages html servies en 
reponse. Si une fraude par canal cache sur http venait a rompre 
cette caracteristique du debit d'une connexion http, c'est-a-dire si 
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Ie debit montant devenait soudainement anormalement eleve alors 
Tinvention serait en mesure de bloquer ce trafic. 

Pour atteindre ces objets, la presente invention concerne 
un procede de protection de protocoles de reseaux sans alteration 

5 de leurs usages licites qui consiste, pour un flux de paquets de 
donnees d'entree, a appliquer une fonction de retardement pour 
chaque paquet, insuffisant pour gener un usage licite, mais 
suffisant pour gener un usage illicite. 

Particulierement, dans un protocole de signalisation, 

10 Tinvention appliquera une fonction de retardement croissante 
avec le debit du flux surveille, de sorte que si Tusage illicite du 
protocole a titre de transport de donnees privees vient a depasser 
un debit standard, le retard croit indefiniment ce qui coupe 
pratiquement le canal en usage illicite sans gener les autres flux. 

15 D'autres caracteristiques et avantages de la presente 

invention seront mieux compris de la description et des dessins 
annexes parmi lesquels : 

- la figure 1 represente une sequence selon un protocole a 
proteger ; 

20 - la figure 2 represente un graphe temporel des debits sur 

des flux surveilles selon un autre protocole a proteger en cas 
d'attaque non bloquee et en cas d'attaque bloquee par le procede 
de Tinvention ; 

- la figure 3 est un schema bloc d'un equipement de 
25 traitement de flux a surveiller dans le procede de Tinvention ; 

- la figure 4 est un organigramme d'un mode particulier de 
realisation du procede de Tinvention ; 

- la figure 5 est un schema expliquant les divers scenarios 
dans un premier exemple d'application de Tinvention ; 

30 - la figure 6 est un graphe temporelle expliquant un 

scenario dans un second exemple duplication de Tinvention. 

On va maintenant decrire deux techniques d'attaques 
utilisees. La premiere technique d'attaque est utilisable sur les 
reseaux de type IP. De tels reseaux, peuvent etre des reseaux 
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d'entreprises, I'lnternet ou des "hot spots". La deuxieme 
technique d'attaque, par contre, est specifique aux reseaux "hot 
spots", et vise particulierement le serveur d'authentification GSM 
interconnects a un reseau « hot spot ». 
5 Generalement, les terminaux connectes a un reseau IP 

exploite par une entreprise, par un operateur de 
telecommunication ou par un fournisseur d'acces a Internet, ne 
sont pas libres de faire n'importe quel type de connexions. II 
existe trois grandes raisons a cela. 

io Une premiere raison est que le reseau est un reseau de 

production et on ne souhaite pas que les utilisateurs en fassent 
un usage detourne a des fins de divertissement, d'enrichissement 
personnel ou de nuisance a autrui. 

Une seconde raison est que le reseau est d'usage payant 

is et il convient de n'autoriser que les flux pour lesquels I'utilisateur 
a regie un droit. 

Une troisieme raison est qu'autoriser plus de connexions 
que ce qui est necessaire pour le bon fonctionnement de 
^organisation proprietaire du reseau ne peut etre qu'une occasion 

20 d'un usage illicite. 

Une operation de filtrage des flux entrant et sortant du 
reseau est generalement reutilisee sur des equipements a la 
frontiere du reseau tels que des routeurs filtrants ou des pare- 
feux (dans la suite, ce genre d'equipement est designe 

25 collectivement sous Tappellation "pare-feux" ou "firewalls"). De 
plus, pour le bon fonctionnement des protocoles autorises, ces 
equipements doivent laisser passer sans restriction d'autres 
protocoles indispensables tels que le protocole ICMP (RFC 792) 
ou le protocole DNS (RFC 1034) 

30 Or, il existe des outils logiciels qui permettent d'utiliser les 

protocoles autorises par les pare-feux pour faire passer des 
protocoles interdits Ces techniques sont connues sous le nom de 
"canaux caches" ou "firewall piercing" et sont toutes construites 
sur le meme schema, qui sera decrit a Taide de la figure 5 qui 
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presente ce type d'attaque dans le cas ou le protocole DNS est 
utilise pour transporter des donnees au travers du firewall : 

a) Le pirate laisse un serveur en libre acces quelque part 
sur Internet, a Pexterieur du reseau sur lequel son terminal est 

5 connecte. Ce serveur a deux fonctions: 

i. Encapsuler/decapsuler les paquets en provenance de la 
machine du pirate 

ii. Retransmettre le paquet extrait vers son destinataire 
final et recevoir les paquets de ce meme destinataire pour les 

10 renvoyer vers le pirate (fonction de relais). 

b) Le terminal du pirate copie le paquet de donnees d'un 
protocole interdit dans une zone libre d'un paquet d'un protocole 
autorise et I'envoie a son serveur qui le traite. 

De cette maniere, le pirate parvient a faire sortir et entrer 
15 du trafic normalement interdit en I'encapsulant dans un paquet 
d'un protocole autorise. Cette fraude est redoutable pour deux 
raisons: 

pratiquement tous les protocoles permettent 
I'encapsulation, 

20 - les pare-feux doivent necessairement laisser passer 

certains protocoles comme DNS et ICMP qui sont connus pour 
avoir cette capacite d'encapsulation. Un blocage pur et simple de 
ces protocoles rendrait d'une part ce reseau non conforme aux 
recommandations de bon fonctionnement et d'interoperabilites, 

25 mais empecherait un fonctionnement normal pour les utilisateurs 
legitimes. 

Les reseaux de type hot spot qui utilisent la methode 
d'authentification par carte SIM reposent sur un protocole de 
communication appele "EAP-SIM" qui est defini dans les normes 
30 publiees. Ce protocole permet de realiser une authentification 
GSM entre un client d'un service hot spot, et un operateur de 
telephonie mobile GSM. L'authentification GSM necessite 
quelques ressources (charge systeme). Un grand nombre de 
demandes d'authentification peut entratner une perte de qualite 
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de service, a la fois pour les clients des services GSM classiques, 
et pour les clients des services sur les reseaux Wi-Fi. 

A la figure 1 , on a represents un schema d'authentification 
par la methode EAP-SIM. Un requerant 1 sur le reseau de 
5 communications envoie une requete d'authentification 2 selon un 
protocole 802.11 vers une ressource d'authentification 3. 

La ressource d'authentification execute une operation 
d'authentification et produit une reponse d'authentification 4 selon 
un protocole AAA vers un serveur d'authentification 5. Le serveur 
10 d'authentification 5 produit en reponse un message 
d'authentification 6 qui est transmis selon le protocole SS7 vers 
un centre d'authentification 7. 

En appliquant le schema EAP-SIM en cas d'une attaque, le 
mode operatoire est le suivant : 
15 L'attaquant signale au point d'acces qu'il est pret a s'authentifier 
(EAPOL^Start); 

Le point d'acces demande alors a l'attaquant de lui donner son 

identite (EAP-Request/Identity); 
L'attaquant repond done avec une identite (Network Access 
20 Identifier (REC 2486) ou NAI contenue dans EAP- 

Response/ld entity; 
Le point d'acces relaie la reponse de l'attaquant vers le Proxy- 

RADIUS; 

Le proxy-RADIUS analyse le contenu de I'identite NAI et relaie la 
25 reponse vers le serveur RADIUS de I'operateur grace au 

contenu du NAI (apres le symbole @) ; 
Le serveur RADIUS de I'operateur analyse la requete contenant 

I'identite NAI (en particulier le code IMSI) ; 
Le serveur RADIUS de I'operateur demande alors a l'attaquant de 
30 s'authentifier avec I'authentification GSM (EAP- 

Request/SIM/Start) via le proxy-RADIUS de i'hot spot visite; 
L'attaquant repond done avec un EAP-Response/SIM/Start 

(Nonce); 
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Le proxy-RADlUS relaie alors cette reponse vers le serveur 

RADIUS de I'operateur; 
Le serveur RADIUS de I'operateur interroge alors la base 
d'authentification GSM pour recuperer n triplets GSM (n=2 
5 ou 3). 

C'est la derniere phase qui est couteuse ; car elle permet a 
I'attaquant de faire calculer n triplets GSM. 

L'attaque consiste done a rejouer au maximum le mode 
operatoire precedent en envoyant un type de paquet initiant la 
10 phase d'authentification (paquets EAPOL_Start). II est alors 
possible de realiser une attaque par deni de service par 
saturation de ressources au niveau du centre d'authentification 7, 
ce qui met en peril a la fois le reseau hot spot, mais surtout le 
reseau GSM. 

is Pour remedier aux problemes lies aux attaques de 

protocoles de communication, I'etat de la technique fournit trois 
moyens qui sont 

- les pare-feux dits "firewalls" ; 

- les systemes de controle de debit ; et 

20 - les systemes de detection et de prevention des 

intrusions. 

Les firewalls sont les systemes habituellement utilises pour 
controler les flux sur un reseau. lis sont generalement places en 
coupure entre deux sous-reseaux et analysent les paquets qui les 
25 traversent. lis sont capables de faire un filtrage a differents 
niveaux : 

- IP/ICMP : le le systemes analyse le contenu des champs 
des entetes (adresse IP sources/destination, type et code ICMP) ; 

- IP/TCP UDP: le systeme analyse le contenu des champs 
30 des entetes (adresse IP sources/destination, port TCP UDP) 

- Session : le systeme fait une analyse complete d'une 
initialisation de session pour I'etablissement d'une communication 
sur un protocole particulier et ainsi s'assure que les paquets 
entrants correspondent effectivement a des paquets sortants. 



WO 2005/064886 



9 



PCT/FR2004/002872 



- contenu des donnees echangees dans les protocoles 
applicatifs et ainsi interdire certains contenus (ex: URL de sites 
pornographiques). 

Les firewalls ne sont neanmoins pas capables de bloquer 
5 les flux issus d'attaques par canaux caches car ils agissent par 
filtrage "tout ou rien" si le flux est declare valide. Dans ce cas, il 
passe integralement ou si le flux et declare invalide, aucun 
paquet ne passe. Or les attaques par canaux caches sont plus 
subtiles puisqu'elles utilisent des flux autorises (voire 

10 indispensables comme le DNS). Par consequent, le seul element 
qui permette dMdentifier une telle attaque est le debit 
anormalement eleve auquel fonctionnent ces protocoles licites 
quand ils sont utilises pour une attaque par canaux caches. 
Aucun firewall ne permet ce genre de critere de filtrage. 

15 Par ailleurs, le procede de I'invention offre un filtrage 

"auto-adaptatif du trafic suspect qui permet: 

- de bloquer rapidement les flux suspects; 

- de relacher automatiquement le blocage une fois que la 
situation est revenue a la normale; 

20 - d'offrir a chaque type d'attaque une reponse adapte en 

termes de rapidite de blocage, de limite de debit, de rapidite de 
relachement du blocage ainsi qu'il sera decrit plus loin pour la 
fonction f(), 

- d f eviter de totalement bloquer un flux legitime, et pourtant 
25 trop abondant, en ne faisant qu'un ralentissement du ainsi qu'il 

sera decrit plus loin sur le mode de fonctionnement "sub-normal" 

Le trafic continue done a passer, meme si le service est 
legerement degrade. Un firewall classique le bloquerait 
completement. 

30 Les systemes de controle de debit permettent d'attribuer 

une partie de la bande passante totale disponible a un type de 
flux, notamment pour eviter des situations de congestion, lis font 
partie des systemes de gestion de la qualite de service. Dans une 
certaine mesure, ces systemes permettent d'eviter ('utilisation 
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frauduleuse de la bande passante sur les reseaux. Par exemple, 
ils permettent de limiter le debit total des requetes DNS et 
reduisent ainsi la portee de I'attaque par canaux caches sur DNS. 
Un logiciel comme le logiciel open source ipfilter, grace a son 
5 module "limit", offre de telles fonctionnalites de limitation de 
debit. 

Toutefois, cela ne reduit pas completement au silence un 
attaquant puisqu'il pourra toujours emettre des donnees au 
maximum du debit autorise par le systeme. 
io La figure 2 montre la reponse en termes de debit a une 

attaque par canaux caches sur DNS. 

A la figure 2, on a represents sur un meme graphique 
temporel : 

- le debit 12 caracteristique d'un protocole protege par le 
15 procede de I'invention quand une attaque survient ; 

- le debit 8 caracteristique d'un protocole protege par un 
systeme de controle de debit lors de la meme attaque ; 

- le debit 9 caracteristique d'un protocole sans aucune 
protection lors d'une meme attaque que celle prevue pour les 

20 debits 8 et 12. 

Lors d'une attaque, le debit augmente relativement 
rapidement selon une pente 10, puis le trafic reste sensiblement 
constant avec des oscillations aleatoires autour d'une valeur de 
debit de regime etabli. 

25 En appliquant un controle de debit un systeme de controle 

de debit de I'etat de la technique, le debit de I'attaquant monte 
plus lentement que dans le cas precedent puis reste constant, 
bloque a une valeur de seuil qui correspond au moins au debit 8 
d'un protocole de signalisation le plus exigeant en debit. 

30 En appliquant le procede de I'invention, le debit de 

I'attaquant passe par un maximum 13 puis decroit jusqu'a 
s'annuler plus ou moins rapidement ainsi qu'on le decrira plus 
loin. 
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On voit bien sur la figure 2 que le systeme de controle de 
debit ne peut pas faire mieux que limiter la bande passante 
disponible a I'attaque. En revanche, le procede de Tinvention 
permet de faire tendre le debit vers zero avec une vitesse de 
5 convergence parametrable. De ce point de vue, ['invention est 
bien plus efficace que les systemes de controle de flux pour 
prevenir les attaques par canaux caches. 

Les systemes de detection d'intrusions (IDS) fonctionnent 
par analyse des flux circulant sur les arteres au moyen d'une 
10 sonde. Celle-ci remonte les donnees collectees a un systeme 
"intelligent" qui les interprete et envoie eventuellement une 
alarme si quelque chose de suspect se produit. Ces systemes 
peuvent aussi eventuellement ordonner a un firewall de couper le 
trafic. 

15 On parle alors de systemes IDS actifs. Une autre evolution 

de ces systemes est connue sous le nom de « systeme de 
prevention » des intrusions « IPS ». 

Dans ce cas, le systeme IDS est directement couple avec 
un firewall, le flux analyse traversant cet equipement. Cela offre 

20 alors des possibilites de coupure du trafic semblable aux 
systemes IDS actif, mais plus performantes en temps de reaction. 
Les principes de detection restent les memes, les donnees 
pertinentes sur lesquelles Panalyse se base sont generalement 
des sequences d'envoi de messages connus (appeles les 

25 signatures des attaques). 

Les systemes IDS sont connus pour presenter de lourds 
inconvenients: 

- ils sont tres chers a cause de la technologie de la sonde 
qui doit etre capable d'analyser de grande quantite de trafic; 

30 - ils ne sont pas tres fiables car, comme tout systeme de 

reconnaissance automatique ils emettent des alarmes injustifiees 
(false positive) et reciproquement laissent passer des attaques 
(false negative); 

- ils ne cherchent a detecter que les attaques connues. 
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La reponse qu'ils fournissent a une attaque n'est pas 
satisfaisante, Dans le cas d'un systeme IDS, une alarme est 
envoyee a un operateur humain qui doit reagir en consequence. 
La presence permanente d'un operateur est d'ailleurs impensable 
5 sur un petit reseau. Dans le cas des systemes IPS, la reponse 
n'est pas meilleure que celle d'un firewall et on se reportera ci- 
dessus pour I'analyse. 

Le procede de I'invention peut etre implements soit dans 
un equipement specifique, soit comme une fonction 
10 supplemental dans un equipement de traitement de flux deja 
present - comme par exemple un routeur, un pare-feu ou un 
serveur DNS. Dans tous les cas, il est indispensable que la 
totalite du trafic a contrdler passe par cet equipement. Un tel 
equipement de traitement de flux represents schematiquement a 
15 la figure 3 comporte une interface d'entree 15 et une interface de 
sortie 17 et que le trafic arrivant sur I'interface d'entree est 
reemis sur I'interface de sortie selon une logique definie par le 
procede de I'invention. 

Elle repose sur le principe suivant qui est execute sur un 
20 processeur 16 de I'equipement de traitement de flux, le flux Fie 
est reemis sur I'interface de sortie comme flux Fjs avec un delai 
plus ou moins long, ni trop pour ne pas etre perceptible des 
utilisateurs "honnetes", ni trop peu pour ne pas permettre a un 
utilisateur malhonnete de faire circuler des donnees non 
25 autorisees. 

D'un point de vue physique, les deux interfaces peuvent 
etre realisees sur la meme carte reseau. 

La distinction entre entree et sortie est valable pour le 
trafic allant dans un sens. Si I'invention traite egalement le trafic 
30 dans I'autre sens, les roles des interfaces sont intervertis. 

Dans le procede de I'invention, on execute d'abord la 
designation des classes de flux a surveiller. 

La designation des classes flux a surveiller peut se baser 
sur la valeur de certains champs du paquet IP tel que cela ce 
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pratique pour la configuration des passerelles IPsec (RFC 2401) 
ou des firewalls. 

Par exemple, on peut retenir une designation des classes 
de flux par une combinaison des valeurs suivantes: une adresse 
5 ou une plage d'adresses IP source, une adresse ou une plage 
d'adresses IP destination, un protocole de niveau superieur (UDP, 
TCP, ICMP...), un numero de port, une valeur d'un champ dans la 
partie protocole de niveau superieur. 

De maniere generale, tout champ protocolaire lisible et 
10 interpretable par I'equipement peut etre retenu comme critere de 
selection, quelque soit son niveau dans la pile des protocoles. 

De maniere specifique, dans le cas ou 1'invention ne 
fonctionne que comme un ajout a un service particulier, 
Timplantation d'un systeme de designation de classe de flux 
15 complet n'est pas forcement necessaire. Par exemple si le 
procede de ['invention est ajoute a un serveur de resolution de 
noms DNS dans le but d'empecher les canaux caches sur le 
protocole DNS, alors seule la classe de flux DNS est surveillee, 
ainsi qu'il sera decrit plus loin. Par consequent il n'est pas utile 
20 de laisser la possibility de designer d'autres classes de flux. 

Dans un mode de realisation de I'invention, on execute un 
armement du mecanisme de bridage des flux a surveiller. 

Quand on detecte, sur ('interface d'entree 15 de 
I'equipement de traitement des flux, un flux F ie issu d'une machine 
25 particuliere et appartenant a une classe de flux a surveiller, on 
cree dynamiquement un compteur associe a ce flux. Pour le flux 
indexe N, on note CPT N le compteur associe. 

Dans un mode de realisation de ('invention, le processeur 
16 de traitement des flux met en oeuvre un mecanisme de bridage 
30 des flux non autorises. 

Chaque fois qu'un paquet de donnees arrive sur ['interface 
d'entree 15, lors d'une etape 21 : 

Lors d'une etape 22, on execute un test de mise sous 
surveillance, s'il n'appartient pas a un flux sous surveillance, 
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alors il est reemis immediatement sur I'interface de sortie 17 lors 
d'une etape 23. 

Lors d'un test 24, on verifie si le paquet arrive appartient a 
un flux sous surveillance. 
5 S'il appartient a un flux sous surveillance c'est-a-dire si un 

compteur CPT N lui est deja associe, alors, lors d'une etape 25, le 
compteur CPT N est increments d'un pas comme I'unite de 1 et le 
paquet est reemis sur I'interface de sortie 17 lors d'une etape 23, 
qui depend d'une fonction f() predetermines dependant de la 
10 valeur en cours du compteur CPTn apres un delai Dn = f(CPTw). 

La fonction f() est appelee fonction de retardement. 

Dans un mode de realisation, a chaque paquet reemis sur 
I'interface de sortie 17, le compteur CPT N est decrements de un 
pas, comme I'unite 1, lors d'une etape 26. 
15 Dans un mode de realisation, le procede de I'invention 

comporte ensuite un mecanisme de relachement de la 
surveillance d'un flux. 

Une fois que le compteur CPT N atteint une valeur 
suffisamment basse, cela signifie qu'il n'y a plus de tentative 
20 d'emission de trafic illicite. Le compteur CPT N peut alors etre 
supprime et trafic n'est plus sous surveillance. Cette propriete 
n'est toutefois pas indispensable, le trafic peut rester sous 
surveillance indefiniment. 

Si a I'issue du test 24, le paquet n'a pas ete identifies 
25 comme appartenant a une classe de flux sous surveillance, on 
attribue a son flux un nouveau compteur CPT N et on execute 
I'etape 25. 

La fonction de retardement f n'est pas necessairement 
unique pour toutes les classes de flux. Ainsi on pourra retarder un 
30 flux DNS avec une fonction f1 et un flux ICMP avec une fonction 
f2. 

La fonction de retardement f doit etre au minimum 
croissante de facon a ce que plus I'attaquant envoie de trafic, 
plus son trafic est retarde. 
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Une fonction de retardement f a derivee seconde positive 
bloquera tres vite le flux de I'attaquant. Par exemple f(CPT N ) = 
exp(a * CPT N + j3) avec a >JD. 

Dans le cas d'une tentative de saturation de I'equipement 
5 de controle, un compteur CPTMAX N peut aussi etre utilise, si le 
nombre de paquets en attente d'emission depasse la valeur 
CPTMAX N parametree par I'administrateur, alors les paquets en 
attente sont detruits selon un algorithme a choisir. Cette 
fonctionnalite a pour but d'eviter une saturation des ressources de 
10 ('invention. 

On presente ici un mode de realisation du procede de 
Tinvention implements dans un serveur DNS local au reseau a 
proteger. 

On va maintenant decrire Tattaque se developpant sans 

15 Tintervention du procede de I'invention. 

Un reseau local 30 avec controle des flux est souvent 
construit selon un plan presente sur le schema de la figure 5. Le 
reseau local contient des terminaux, dont un exemplaire est 
represents en 34, un serveur DNS, nomme DNS local 31 et un 

20 routeur/firewall 32 qui assure Interconnexion du reseau local 30 
avec un autre reseau 33 comme le reseau Internet. 

Le routeur/firewall 32 est configure pour interdire certains 
flux, par exemple des flux « ftp ». Pour contourner Tinterdiction 
36, le terminal 34 va encapsuler les paquets « ip » qui 

25 transportent le flux « ftp » dans des paquets DNS sur des 
chemins de flux DNS 37, par exemple, en codant de reformation 
dans des champs specifiques du paquet. II s'assure aussi que la 
requete DNS ne pourra etre traitee que par le serveur DNS pirate 
38 sous le controle du pirate a I'exterieur du reseau local, en 

30 choisissant judicieusement les noms de domaines de la requete. 
La machine DNS pirate 38 pourra alors transferer les paquets 
vers le serveur « ftp » 39 demande par le terminal. Le trafic dans 
Tautre sens prend exactement le chemin inverse. 
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En implementant I'invention sur le serveur DNS local, les 
attaques par canaux caches sur DNS seront completement 
bloquees. 

1) Dans ce cas precis decrit a la figure 5, il n'y pas besoin 
5 complementer une gestion des classes de flux et des flux sous 

surveillance. En effet, seuls les flux DNS passent par cette 
machine. 

2) Par ailleurs, on peut surveiller tous les flux DNS en 
associant un flux a surveiller, c'est-a-dire creer un compteur CP T 

10 pour chaque terminal et ne jamais I'effacer. On fixe une valeur 
maximale de CP T comme CPTMAX, CPTMAX = 2000. 

3) On decide arbitrairement que pour les services autorises 
sur le reseau local, comme un service par exemple http, un debit 
seuil exprime par un nombre maximum de requetes DNS, par 

15 exemple de 30 par secondes et par terminal est acceptable. 

4) On suppose qu'une attaque par canaux caches par un 
terminal provoque une brusque elevation du nombre de requetes 
DNS de I'ordre de 100 par seconde. 

5) On choisit f(CPT) = exp(CPT/15) comme fonction de 
20 retardement (exprime en milliseconde) 

On peut distinguer trois modes de fonctionnement d'un 
systeme DNS: 

- un fonctionnement normal : I'utilisateur n'est pas mal 
intentionne et fait un usage du systeme conforme a ce qui a ete 

25 prevu. 

- un fonctionnement anormal : I'utilisateur est mal 
intentionne et est probablement en train de commettre une 
attaque sur le systeme. 

- un fonctionnement sub-normal : I'utilisateur n'est pas mal 
30 intentionne mais fait fonctionner ponctuellement le systeme 

legerement au dela des limites prevues. 

L'analyse qui suit permet de montrer que le systeme 
s'auto-adapte a ces trois cas pour permettre a I'utilisateur 
d'utiliser correctement le service DNS dans le cas "normal" et 
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"sub-normal", avec toutefois une legere perte de qualite de 
service dans le dernier cas; et de bloquer le trafic dans le cas 
"anormal". L'analyse qui suit n'est pas rigoureuse mais elle 
permet d'illustrer avec des valeurs numeriques une 

5 implementation du procede, que Ton suivra sur un graphe 
temporel de ia figure 6, representant Involution du nombre de 
requetes par seconde en fonction du temps. 

A la figure 6, on a represents revolution du nombre de 
requetes DNS par seconde en fonction du temps. Du fait de la 

10 structure du serveur DNS, le compteur affecte au flux surveille 
augmente selon une droite 41. La courbe 42 indique I'arrivee des 
requetes pendant I'attaque et la courbe 40 indique le nombre 
acceptable de requetes dans le serveur DNS. Enfin la courbe 43 
indique revolution du nombre des requetes reemises sur 

is Tinterface de sortie de I'equipement de traitement de flux DNS 
auquel le procede de protection de Tinvention est applique. 

1 ) Cas "normal" 

Lorsque le systeme n'est pas sous le feu d'une attaque, il 
regoit des requetes DNS a traiter avec une frequence de I'ordre 

20 de 30 par seconde selon le niveau 40 (figure 6). Le retard 
applique a chaque paquet est alors de exp(30/1 5)~ 7,39 ms. Cette 
valeur montre qu'un paquet sera retarde d'au plus 7,39 ms. Ceci 
veut dire que pratiquement la totalite des paquets arrives pendant 
une duree d'une seconde seront reemis durant la meme seconde. 

25 En effet, 30 paquets bloques au plus 7,39 ms totalisent une duree 
de 221,7 ms, ce qui est largement inferieur a une seconde. Par 
consequent, le compteur CPT garde une valeur voisine de 0. 

2) Cas "anormal" 

Lorsque le systeme est sous le feu d'une attaque sur un 
30 serveur DNS, le procede de I'invention attribue un compteur CPT 
au flux de Tattaquant, compteur qui va evoluer selon la courbe 41. 
Par exemple 100 requetes par seconde, sont emises, en 
moyenne, sur une seconde. Les paquets seront ralentis de 
exp(100/15)= 785,77 ms. Par consequent, sur la duree, CPT aura 
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augmente d'une valeur 5CPT, grossierement comprise entre 50 et 
100 puisque tres peu des paquets arrives n'auront ete reemis. 
Ensuite, le retard applique aux paquets arrives la seconde d'apres 
sera de exp((100 + SCPT)/15) = exp(SCPT) *785,77 ms » 20 s. 
5 On voit done bien que rapidement le delai applique devient 

compietement bloquant (20 s) et ne cesse de croitre jusqu'a 
atteindre des limites fixees par la valeur maximale de CPT. 
3) Cas "subnormal" 

Lorsque le systeme n'est pas sous le feu d'une attaque, il 

10 peut subir simplement une hausse brutale et ponctuelle du 
nombre de requetes C'est le cas d'un utilisateur qui visualise une 
page html qui comporte de nombreuses URL, par exemple 40. 
Alors CPT va sortir de la zone de « bon fonctionnement » 
momentanement. Au maximum un retard de exp (40/1 5)= 14,39 ms 

15 sera applique, ce qui est insensible pour I'utilisateur qui affiche 
une page html dans un navigateur. De plus, cette valeur ne 
permet pas a CPT de croTtre demesurement car les 40 paquets 
arrives, meme retardes de 14,39 ms, peuvent repartir dans la 
seconde durant laquelle ils sont arrives. Un systeme 'tout ou rien 1 

20 aurait bloque compietement le trafic parce qu'il etait sortit de la 
zone de bon fonctionnement (CPT<30). A Tinverse, ('invention 
n'introduit qu'une legere perte de qualite de service (un retard de 
14,39 ms) qui s'estompe au fur et a mesure que le systeme rejoint 
le mode de fonctionnement "normal". 

25 A titre de second exemple, on presente ici comment le 

procede de Pinvention peut etre implemente dans un serveur 
Proxy-RADIUS local au reseau a proteger. 

Globalement, le fonctionnement est similaire a la 
description precedente sur ('implementation dans le service DNS. 

30 En effet, I'idee dans le cas de la limitation des impacts de 
I'attaque sur I'authentification GSM, est d'utiliser Tinvention en 
coupure du transport de I'authentification GSM. Par consequent, 
la description sera plus succincte, et ne s'attardera que sur les 
points particuliers a Tauthentification GSM. 
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La position la plus simple du mecanisme de controie est Ie 
proxy-RADIUS pour plusieurs raisons: 

L'authentification transite a travers le proxy-RADIUS, quel 
que soit Toperateur GSM vise (roaming); 
5 Les modifications sur le reseau GSM de Toperateur sont 

tres lourdes et peuvent avoir un impact fort sur les clients GSM. 

Les champs utilises pour le mecanisme de controie seront 
contenus dans les donnees du mecanisme d'authentification EAP- 
SIM. En effet, il est possible de savoir vers quel operateur 
10 l'authentification EAP-SIM est demandee (sous la forme 
utilisateurQjoperateurGSM) . II est done possible de mettre en 
place Tinvention au niveau du hot spot, pour proteger tous les 
operateurs GSM de ce type d'attaque par deni de service. 

Ensuite, le mecanisme de controie s'execute dans le cadre 
15 normal de Tinvention (voir figure 3), qui permet de limiter le 
nombre de demandes d'authentification grace a une analyse 
comportementale sur le transport de ('authentication. 

On remarque que la presente invention comporte aussi un 
usage de detection des usages illicites. En effet, le protocole 
20 dans un mode de realisation de Tinvention comporte aussi une 
etape pour detecter une evolution du debit associe a un flux 
surveille caracteristique d'un usage illicite. C'est particulierement 
le cas quand le compteur associe a un flux surveille passe par 
une valeur maximale, puis se reduit rapidement vers un debit nul. 
25 Dans un tel cas, le precede de Tinvention permet de produire une 
alarme d'un tel usage illicite. Un tel signal d'alarme est transmis a 
un administrateur de reseau qui peut prendre toute mesure, 
notamment en tenant un historique des incidents, en cherchant 
Tidentite des auteurs de tels usages illicites et en appliquant 
30 toute mesure ulterieure pour reduire Tacces a de tels auteurs. 



ABREVIATIONS 
DNS: Domain Name Service 
EAP: Extensible Authentication Protocol 
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EAP-SIM: EAP-Subscriber Identity Module 
GSM: Global System for Mobile Communications 
ICMP: Internet Control Message Protocol 
IP: Internet Protocol 
5 NAI: Network Access Identifier (identificateur d'acces reseau) 

RADIUS: Remote Access Dial In User Service (service des 
utilisateurs pour la numerotation distante) 

TCP: Transport Control Protocol (protocole de commande de 
transport) 

10 UDP: User Datagram Protocol (protocole d'utilisation de 
datagrammes) 

IDS : Intrusion Detection System (systeme de detection 
d'intrusion) 

IPS = Intrusion Prevention System (systeme de prevention 
is d'intrusion) 

RFC : Request For Communication 

HTTP : Hyper Text Transfer Protocol (protocole de transfert de 
fichiers hypertexte) 

FTP : File Transfer Protocol (protocole de transfert de fichiers) 
20 HTML = Hyper Text Mark-up Language (langage de marquage 
hypertexte) 
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REVEN PI CATIONS 

1. Procede de detection et de prevention des usages 
illicites de certains protocoles de reseaux sans alteration de leurs 
usages licites, caracterise en ce qu'il consiste, pour un flux de 

5 paquets de donnees d'entree, a appliquer une fonction de 
retardement f() pour chaque paquet, appliquant un retard 
insuffisant pour gener un usage licite, mais suffisant pour gener 
un usage illicite. 

2. Procede selon la revendication 1, notamment dans un 
10 protocole de signalisation, caracterise en ce qu'il consiste a 

selectionner une fonction de retardement croissante avec le debit 
du flux surveille, de sorte que si I'usage illicite du protocole a titre 
de transport de donnees privees vient a depasser un debit 
standard, le retard croit indefiniment ce qui coupe pratiquement le 
15 canal en usage illicite sans gener les autres flux. 

3. Procede selon Tune des revendications precedentes, 
caracterise en ce qu'il consiste, a la detection (21) d'arrivee d'un 
paquet de donnees, a determiner (22) s'il appartient a un flux 
surveille et dans la negative, a lui affecter un compteur (CPT). 

20 4. Procede selon la revendication 3, caracterise en ce qu'il 

consiste, apres la detection (21) d'arrivee d'un paquet de 
donnees, a incrementer (25) le compteur associe au flux surveille 
(CPT N ) d'un pas predetermine et a appliquer la valeur en cours du 
compteur comme argument de la fonction de retardement avant 

25 de relacher le paquet de donnees sur un flux de sortie. 

5. Procede selon la revendication 4, caracterise en ce qu'il 
consiste a selectionner une fonction de retardement a derivee 
seconde positive. 

6. Procede selon la revendication 5, caracterise en ce que 
30 la fonction de retardement est un exponentielle dependant du 

compteur associe au flux surveille selon une relation de la forme : 
f(CPT N ) = exp(a * CPT N + j3) avec a >JD. 

7. Procede selon I'une quelconque des revendications 3 a 
6, caracterise en ce qu'il consiste a determiner pour le flux 
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surveille une valeur maximale admissible de debit CPTMAXn, puis 
a determiner si le nombre de paquets en attente d'emission 
depasse la valeur CPTMAXn, et en reponse a detruire les paquets 
en attente. 

5 8. Precede selon Tune quelconque des revendications 

precedentes, caracterise en ce qu'il consiste, pour un systeme 
DNS, a s'auto-adapter dans : 

- un fonctionnement normal : Tutilisateur n'est pas mal 
intentionne et fait un usage du systeme conforme a ce qui a ete 

10 prevu, le compteur CPT associe gardant une valeur voisine de 0 ; 

- un fonctionnement anormal : I'utilisateur est mal 
intentionne et est probablement en train de commettre une 
attaque sur le systeme, le retard applique aux paquets DNS 
augmentant et le compteur CPT associe augmentant ; 

is - un fonctionnement sub-normal : I'utilisateur n'est pas mal 

intentionne mais fait fonctionner ponctuellement le systeme 
legerement au dela des limites prevues, le compteur CPT restant 
a des niveaux moderes. 

9. Precede selon Tune quelconque des revendications 1 a 
20 7, caracterise en ce qu'il est implements dans un serveur Proxy- 

RADIUS, local au reseau GSM a proteger, en ce qu'il consiste a 
determiner des champs utilises pour le mecanisme de controle 
contenus dans les donnees du mecanisme d'authentification EAP- 
SIM, puis a executer le mecanisme de controle pour limiter le 
25 nombre de demandes d'authentification grace a une analyse 
comportementale sur le transport de I'authentification. 

10. Protocole selon Tune quelconque des revendications 3 
a 9, caracterise en ce qu'il comporte aussi une etape pour 
detecter une evolution du debit associe a un flux surveille 

30 caracteristique d'un usage illicite et pour produire une alarme 
d'un tel usage illicite. 
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Realisation d'un canal cache "ftp dans DNS" Fig. 5 
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